什么是跨域?怎么解决跨域问题?

已于 2022-05-18 13:28:01 修改
阅读量1k 收藏 10
点赞数 3
分类专栏: 计算机网络 前端 SpringBoot 文章标签: php 前端 ajax
于 2021-07-22 09:46:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cristianoxm/article/details/118991667
版权
SpringBoot 同时被 3 个专栏收录
55 篇文章 11 订阅
订阅专栏
计算机网络
21 篇文章 0 订阅
订阅专栏
前端
16 篇文章 0 订阅
订阅专栏

一、什么是跨域

跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。

所谓同源是指,域名,协议,端口均相同,不明白没关系,举个栗子:

  • http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非跨域)

  • http://www.123.com/index.html 调用 http://www.456.com/server.php
    (主域名不同:123/456,跨域)

  • http://abc.123.com/index.html 调用 http://def.123.com/server.php
    (子域名不同:abc/def,跨域)

  • http://www.123.com:8080/index.html 调用 http://www.123.com:8081/server.php (端口不同:8080/8081,跨域)

  • http://www.123.com/index.html 调用 https://www.123.com/server.php(协议不同:http/https,跨域)

  • 请注意:localhost和127.0.0.1虽然都指向本机,但也属于跨域。

浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。

  • 同源策略限制内容有:
  • Cookie、LocalStorage、IndexedDB 等存储性内容
  • DOM 节点
  • AJAX 请求不能发送

二、前端的解决办法

  1. JSONP:

使用方式就不赘述了,但是要注意JSONP只支持GET请求,不支持POST请求。

JSONP原理

ajax请求受同源策略影响,不允许进行跨域请求而script标签src属性中的链接却可以访问跨域的js脚本,利用这个特性,服务端不再返回JSON格式的数据,而是返回一段调用某个函数的js代码,在src中进行了调用,这样实现了跨域。

jsonp其实是一种特定的格式,一般是 fun(json格式参数),

服务端:

header('Content-type: application/json');
 //获取回调函数名
 $jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback']);
//json数据
 $json_data = '["customername1","customername2"]';
//输出jsonp格式的数据
 echo $jsoncallback . "(" . $json_data . ")";

客户端:

function callbackFunction(result, methodName)
{
 console.log(result[0]);
};

其实就是返回一个js文件,里面执行了callbackFunction方法;因为引用js文件不存在跨域的问题,这样问题就解决啦~~~

  1. 代理(Nginx或者Vue-Cli)

例如www.123.com/index.html需要调用www.456.com/server.php,可以写一个接口www.123.com/server.php,由这个接口在后端去调用www.456.com/server.php并拿到返回值,然后再返回给index.html,这就是一个代理的模式。相当于绕过了浏览器端,自然就不存在跨域问题。比如vue-cli中开启代理服务器的方式。

  • vue.config.js的配置
devServer: {
    proxy: {
      '/atguigu': {
        target: 'http://localhost:5000',
          //路径重写,不然强求会带上前端vue自己配置的/atguigu请求后端,会造成后端解析不了报错
				pathRewrite:{'^/atguigu':''},
        // ws: true, //用于支持websocket
        // changeOrigin: true //用于控制请求头中的host值
      },
      '/demo': {
        target: 'http://localhost:5001',
				pathRewrite:{'^/demo':''},
        // ws: true, //用于支持websocket
        // changeOrigin: true //用于控制请求头中的host值
      }
    }
  • nginx反向代理
    实现原理类似于Node中间件代理,需要你搭建一个中转nginx服务器,用于转发请求使用nginx反向代理实现跨域,是最简单的跨域方式。只需要修改nginx的配置即可解决跨域问题,支持所有浏览器,支持session,不需要修改任何代码,并且不会影响服务器性能。实现思路:通过nginx配置一个代理服务器做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录。将nginx目录下的nginx.conf修改如下:
// proxy服务器
server {
    listen       81;
    server_name  www.domain1.com;
    location / {
        proxy_pass   http://www.domain2.com:8080;  #反向代理
        proxy_cookie_domain www.domain2.com www.domain1.com; #修改cookie里域名
        index  index.html index.htm;
 
        # 当用webpack-dev-server等中间件代理接口访问nignx时,此时无浏览器参与,故没有同源限制,下面的跨域配置可不启用
        add_header Access-Control-Allow-Origin http://www.domain1.com;  #当前端只跨域不带cookie时,可为*
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Methods GET, POST, OPTIONS;
        add_header Access-Control-Allow-Headers *;
    }
}

这样我们的前端代理只要访问 http:www.domain1.com:81/*就可以了。

  1. 修改header(XHR2方式)
  • header(‘Access-Control-Allow-Origin:*’);//允许所有来源访问
  • header(‘Access-Control-Allow-Method:POST,GET’);//允许访问的方式

三、后端的解决方式

  • 关于cors

CORS(Cross-origin resource sharing),跨域资源共享。CORS 其实是浏览器制定的一个规范,浏览器会自动进行 CORS 通信,它的实现则主要在服务端,它通过一些 HTTP Header 来限制可以访问的域,例如页面 A 需要访问 B 服务器上的数据,如果 B 服务器 上声明了允许 A 的域名访问,那么从 A 到 B 的跨域请求就可以完成。对于那些会对服务器数据产生副作用的 HTTP 请求,浏览器会使用 OPTIONS 方法发起一个预检请求(preflight request),从而可以获知服务器端是否允许该跨域请求,服务器端确认允许后,才会发起实际的请求。在预检请求的返回中,服务器端也可以告知客 户端是否需要身份认证信息。我们只需要设置响应头,即可进行跨域请求。

虽然设置 CORS 和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求

  • 简单请求:

只要同时满足以下两大条件,就属于简单请求:

  1. 使用GET、HEAD、POST方法之一;
  2. Content-Type的值仅限于:text/plain、multipart/form-data、application/x-www-form-urlencoded,请求中的任意
    XMLHttpRequestUpload 对象均没有注册任何事件监听器; XMLHttpRequestUpload 对象可以使用
    XMLHttpRequest.upload 属性访问;
  • 复杂请求:

不符合以上条件的请求就肯定是复杂请求了。 复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许跨域请求。我们用PUT向后台请求时,属于复杂请求,后台需被请求的Servlet中添加Header设置,Access-Control-Allow-Origin这个Header在W3C标准里用来检查该跨域请求是否可以被通过,如果值为*则表明当前页面可以跨域访问。默认的情况下是不允许的。

  1. 配置过滤器的方式:
@WebFilter(filterName = "corsFilter", urlPatterns = "/*",
        initParams = {@WebInitParam(name = "allowOrigin", value = "*"),
                @WebInitParam(name = "allowMethods", value = "GET,POST,PUT,DELETE,OPTIONS"),
                @WebInitParam(name = "allowCredentials", value = "true"),
                @WebInitParam(name = "allowHeaders", value = "Content-Type,X-Token")})
public class CorsFilter implements Filter {
    private String allowOrigin;
    private String allowMethods;
    private String allowCredentials;
    private String allowHeaders;
    private String exposeHeaders;
    @Override
    public void init(FilterConfig filterConfig){
        allowOrigin = filterConfig.getInitParameter("allowOrigin");
        allowMethods = filterConfig.getInitParameter("allowMethods");
        allowCredentials = filterConfig.getInitParameter("allowCredentials");
        allowHeaders = filterConfig.getInitParameter("allowHeaders");
        exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        if (!StringUtils.isEmpty(allowOrigin)) {
            if(allowOrigin.equals("*")){
                // 设置哪个源可以访问
                response.setHeader("Access-Control-Allow-Origin", allowOrigin);
            }else{
                List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
                if (allowOriginList.size() > 0) {
                    String currentOrigin = request.getHeader("Origin");
                    if (allowOriginList.contains(currentOrigin)) {
                        response.setHeader("Access-Control-Allow-Origin", currentOrigin);
                    }
                }
            }
        }
        if (!StringUtils.isEmpty(allowMethods)) {
            //设置哪个方法可以访问
            response.setHeader("Access-Control-Allow-Methods", allowMethods);
        }
        if (!StringUtils.isEmpty(allowCredentials)) {
            // 允许携带cookie
            response.setHeader("Access-Control-Allow-Credentials", allowCredentials);
        }
        if (!StringUtils.isEmpty(allowHeaders)) {
            // 允许携带哪个头
            response.setHeader("Access-Control-Allow-Headers", allowHeaders);
        }
        if (!StringUtils.isEmpty(exposeHeaders)) {
            // 允许携带哪个头
            response.setHeader("Access-Control-Expose-Headers", exposeHeaders);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }
    @Override
    public void destroy() {
    }
}
  1. 基于SpringBoot: 以下代码配置也可以完美解决前后端跨域请求问题
@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        /*是否允许请求带有验证信息,即支持cookies跨域*/
        corsConfiguration.setAllowCredentials(true);
        /*允许访问的客户端域名*/
        corsConfiguration.addAllowedOrigin("*");
//        corsConfiguration.setAllowedOrigins(List.of("*"));
        /*允许服务端访问的客户端请求头*/
        corsConfiguration.addAllowedHeader("*");
        /*允许访问的方法名,GET POST等*/
        corsConfiguration.addAllowedMethod("*");
        // 缓存时间。在这个时间段内,相同的跨域请求将不再检查
        corsConfiguration.setMaxAge(300L);
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}
  1. SpringBoot@CrossOrigin注解

这个方法仅对Java有用。springboot中,在Controller类上添加一个 @CrossOrigin(origins ="*") 注解就可以实现对当前controller 的跨域访问了,当然这个标签也可以加到方法上,或者直接加到入口类上对所有接口进行跨域处理,注意这个注解只在JDK1.8版本以上才起作用。

  1. 使用SpringCloud网关

服务网关(zuul)又称路由中心,用来统一访问所有api接口,维护服务。Spring Cloud Zuul通过与Spring Cloud Eureka的整合,实现了对服务实例的自动化维护,所以在使用服务路由配置的时候,我们不需要向传统路由配置方式那样去指定具体的服务实例地址,只需要通过Ant模式配置文件参数即可。当然SpringCloud网关和微服务调用中心不只有这一种组合。

四、总结

  • CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案
  • JSONP只支持GET请求,JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
  • 不管是Node中间件代理还是nginx反向代理,主要是通过同源策略对服务器不加限制。

日常工作中,用得比较多的跨域方案是cors和nginx反向代理

参考文章

ximeneschen
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是解决方法.docx
11-23
什么是解决方法.docx
请求
05-21 1699
请求 ​ 请求就是指:当前发起请求的与该请求指向的资源所在的不一样。这里的指的是这样的一个概念:我们认为如果协议 + 名 + 端口号均相同,那么就是同,否则则是的 ​ 请求是由于浏览器的同源策略导致的,浏览器的同源策略是不能没有的(同源策略是浏览器最核心最基础的安全策略) 同源策略禁止 Ajax 直接发起HTTP请求(其实可以发送请求,结果被浏览器拦截,不展示),同...
http -- 问题详解(浏览器)
最新发布
qq_37233070的博客
12-19 1211
既是 Windows 网络操作系统的逻辑组织单元,也是Internet 的逻辑组织单元,它是安全边界。只有的所有者才能访问管理内部的资源,若其他的要访问或者管理,则需要该赋予其他相关权限。从小角度来讲,在php中的变量作用,就可以体现出安全边界的概念。在以下例子中,调用test函数并不会输出任何内容。echo $a;test();因为函数内调用的是局部作用的变量,而在局部作用内并没有声明 $a 变量。除非我们使用global $a;从全局作用引用该变量。
什么是请求以及实现的方案
weixin_30347009的博客
04-04 211
https://www.jianshu.com/p/f880878c1398 ken_ljq 0.3 2017.10.07 18:45* 字数 3316 阅读 15560评论 2喜欢 25 前言:对于请求,很早之前就有去了解过,但因为一直关注的都是服务器后端开发,故也就仅仅停留在概念的理解上而没有机会在实际开发场景中接触得到。最近在公司的开发任务中,需要接...
HTTP中的请求、HTTP报文结构、状态码
qq_44886213的博客
01-13 7367
对这篇博客的理解及记录:HTTP的原因及解决方法(CORS 和 JSONP) - 简书 一、前驱知识学习 要理解区请求的话,需要对HTTP的报文结构、状态码有所了解。 HTTP 有两类报文: (1)请求报文——从客户向服务器发送请求报文。 (2)响应报文——从服务器到客户的回答。 (1)请求报文 命令/方法:常见的有GET、POST、HEAD (2)响应报文 状态码: (1)状态码都是三位数字 1xx 表示通知信息的,如请求收到了或正在进行处理。 2xx 表示成功
是什么 如何解决
许洋先生的博客
08-01 460
什么叫 一、: 指浏览器不能执行其他网站的脚本,也就是说需要保持同源策略,那么问题又来了啥又叫 同源策略 呢??? 二、同源策略: 同源策略是指 名,协议,端口号必须相同 ,如有一个不同那么就会 举个例子: 当前页面url 被请求页面url 是否 原因 http://www.test.com/ http://www.test.com/index.html 非 同源(协议,名,端口号均相同) http://www.test.com/ https://www.test
什么是?如何解决
国内某知名游戏公司小菜鸡工程师
07-15 5115
解决,让我们愉快的开发吧
是什么,如何解决
v_jinfuwu的博客
01-15 412
什么是,如何解决 是什么 就是浏览器为了安全做的同源策略,协议、名、端口,这三者有一者不同就会产生解决方法 方法一: 使用JSNP,利用了’script’标签中的’src’属性,没有限制的特性,并提供一个回调函数,回调函数名称为callback; 方法二: vue中集成了解决,可以通过添加代理: 在vue.config.js中添加了devServer:{proxy: 代理地址}; 方法三: 需要后端的PHP,
是什么 ,怎么解决问题
梦奇
11-20 506
是指一个去请求另一个非同源的资源 比喻:假如你去别人家拿钱拿得到吗 拿不到 得想办法, 我所知道的办法: 1.服务器proxy(代理): 浏览器有限制,但是服务器不存在问题,所有可以由服务器来请求所有的资源返回给客户端 2.postMessage postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现文本档、多窗口、消息传递。 ...
是什么,以及怎么解决
s_y_f_的博客
06-05 236
是什么 就是违反了浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,当发送请求时,如果不满足同名,同端口,同协议的三项的话就会造成,只要有一项不满足就会造成,它是浏览器最核心也最基本的安全功能,如果没有同源策略的话,整个浏览器都会受到影响. 怎么解决 正向代理和反向代理 jsonp:原理就是利用了script标签src属性外联引入文件不受同源策略的限制,在页面中动态插入了script,script标签的src属性就是后端api接口的地址,并且以get
Python项目问题解决方案
12-17
2.安装模块(一下代码修改都是在settings.dev下进行的) pip install django-cors-headers -i https://pypi.douban.com/simple 添加应用  INSTALLED_APPS = (  ...  'corsheaders',  ...  ) 中间件设置...
Vue项目中问题解决方案
01-19
使用http-proxy-middleware 代理解决(项目使用vue-cli脚手架搭建) Jquery jsonp 后台更改header header('Access-Control-Allow-Origin:*');//允许所有来源访问 header('Access-Control-Allow-Method:POST,GET')...
jQuery问题解决方案
12-10
下面把具体解决方案介绍如下。 后台处理路径“/test”的函数: 代码如下: //路径处理 app.get(“/test”,user.test); //处理函数 exports.test=function(req,res){  res.end(“alert(‘JS访问’)”); ...
Java服务器端问题解决方案
08-25
主要介绍了java服务器端问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot Test及注解详解(含Mockito)
热门推荐
cristianoxm的博客
03-12 5万+
一、版本差异 Spring Boot 2.2.0 版本开始引入 JUnit 5 作为单元测试默认库,在 Spring Boot 2.2.0 版本之前,spring-boot-starter-test 包含了 JUnit 4 的依赖,Spring Boot 2.2.0 版本之后替换成了 Junit Jupiter。 pom.xml <dependency> <groupId>org.springframework.boot</groupId&g
HttpClient、OKhttp、RestTemplate对比
cristianoxm的博客
10-25 1万+
一、三者的对比 HttpClient:代码复杂,还得操心资源回收等。代码很复杂,冗余代码多,不建议直接使用。 RestTemplate: 是 Spring 提供的用于访问Rest服务的客户端, RestTemplate 提供了多种便捷访问远程Http服务的方法,能够大大提高客户端的编写效率。 okhttp:OkHttp是一个高效的HTTP客户端,允许所有同一个主机地址的请求共享同一个socket连接;连接池减少请求延时;透明的GZIP压缩减少响应数据的大小;缓存响应内容,避免一些完全重复的请求 二、Ht
SSO单点登录和OAuth2.0的区别和理解
cristianoxm的博客
03-24 9195
一、概述 SSO是Single Sign On的缩写,OAuth是Open Authority的缩写,这两者都是使用令牌的方式来代替用户密码访问应用。流程上来说他们非常相似,但概念上又十分不同。SSO大家应该比较熟悉,它将登录认证和业务系统分离,使用独立的登录中心,实现了在登录中心登录后,所有相关的业务系统都能免登录访问资源。OAuth2.0原理可能比较陌生,但平时用的却很多,比如访问某网站想留言又不想注册时使用了微信授权。以上两者,你在业务系统中都没有账号和密码,账号密码是存放在登录中心或微信服务器中的,
@CrossOrigin及其实现原理
cristianoxm的博客
05-18 8882
一、关于什么是解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
http服务访问局网服务器
03-27
要实现http服务访问局网服务器,需要进行以下步骤: 1. 在局网服务器上安装并配置一个支持访问的http服务,如Apache、Nginx等。 2. 在http服务配置文件中添加访问的配置项,如设置Access-Control-Allow-Origin等。 3. 在局网服务器上启动http服务,并监听指定的端口号。 4. 在访问资源的客户端(如浏览器)中,使用XMLHttpRequest对象或fetch API等进行访问。 5. 在访问的请求头中添加必要的参数,如Origin、Access-Control-Allow-Origin等。 6. 根据http服务的配置,检查请求头中的参数是否符合要求,如果符合,则允许访问。 注意事项: 1. 由于访问涉及到网络安全问题,因此需要确保访问的安全性。 2. 在访问时,要注意处理可能出现的请求头和响应头中的安全问题。 3. 如果局网服务器上的http服务是基于HTTPS协议的,还需要考虑证书的安全性问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值